増幅攻撃はDNSだけではない――NTPサーバーの脆弱性に注意喚起悪用した攻撃も2013年12月に観測

システムの内部時計を正しい時間に同期させるNTPサーバープログラム「ntpd」の一部のバージョンにDDoS攻撃につながる脆弱性が存在するとし、情報処理推進機構(IPA)やJPCERTコーディネーションセンター(JPCERT/CC)が注意を呼び掛けている。

» 2014年01月15日 19時33分 公開
[高橋睦美,@IT]

 2014年1月15日、システムの内部時計を正しい時間に同期させるNTPサーバープログラム「ntpd」の一部のバージョンにDDoS攻撃につながる脆弱性が存在するとし、情報処理推進機構(IPA)やJPCERTコーディネーションセンター(JPCERT/CC)が注意を呼び掛けた。

 ntpdは、Network Time Protocol projectが公開しているNTPサーバーソフトウェアだ。LinuxやBSD系OS、Mac OS Xなど多くのOSに搭載されている他、ルーターなどネットワーク機器に組み込まれていることがある。

 DDoSにつながる脆弱性が存在するのはntpd 4.2.7p26よりも前のバージョンだ。つまり、安定版の4.2.6.xは全て、脆弱性の影響を受けるという。

 脆弱性は、NTPサーバーの状態を確認するmonlist機能に起因する。monlist機能では、NTPサーバーに送られるリクエストに対して、大きなサイズのデータが返される。これを悪用し、送信元IPアドレスを偽装してNTPサーバーにリクエストを送信すると、無関係な第三者のWebサーバーなどに大量のデータが送り付けられ、DoS状態に陥ってしまう。

 送信元IPアドレスを詐称してリクエストを送信し、第三者のサーバーに大量の返答を送り付ける攻撃手法は、DNSでも用いられていた。外部からの再帰検索を許可しているDNSサーバー(オープンリゾルバー)を悪用して問い合わせを行い、何倍ものサイズのパケットに増幅させ、標的に大量のトラフィックを送り付ける「DNSリフレクション攻撃」(あるいはDNS amp攻撃とも)だ。この手法がNTPにも悪用されていることになる。

 既に2013年12月に、この脆弱性を悪用した攻撃が観測されたという。また、JPCERT/CCが運用しているインターネット定点観測システム「TSUBAME」でも、NTPサーバを探索するパケットの増加が確認されており、「今後も同攻撃が継続すると想定される」(JPCERT/CC)という。

 対策は、脆弱性を修正したntpd 4.2.7p26(開発版)にバージョンアップすることだ。もし開発版の適用が難しい場合は、ntpdの設定ファイル「ntp.conf」に「disable monitor」という一行を追加し、monlist機能を無効化することで回避可能という。

 なお、サーバーやネットワーク機器に組み込まれているといった理由で、管理者が把握していないNTPサーバーが存在し、DDoS攻撃に悪用される可能性もある。OpenNTPProject.orgでは、対象ネットワークにmonlistのリクエストに応答を返すNTPサーバーが存在しないかどうかのチェックが可能だ。洗い出したNTPサーバーの中で、外部にNTPサービスを提供する必要がないものについては、外部からの通信を制限することも検討すべきという。

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。